信息安全管理体系认证审核员确认方案2完整篇.doc
信息安全管理体系认证审核员确认方案7第
2页
书复印件;
●审核经历(适用于高级审核员申请人)。
(3)申请人应按CCAA-201《认证人员注册、培训认可收费规则》缴纳相应费用。
3.评价
CCAA对认证机构的相关证明和文件进行审核,确认机构的申报资格;
CCAA评价人员对申请人的申请资料进行评价,提出确认意见;
CCAA注册部负责人审查评价过程和确认意见,作出确认决定;
CCAA秘书长批准确认决定并签发确认文件。
五、确认结果
CCAA将向申报机构发送审核人员资格确认文件。
确认资格自确认文件批准之日起生效,有效期3年;出现以下情况时,有效期自动终止,确认资格即行失效:
●确认人员与申报机构解除聘用关系;
●确认人员违反法律法规、认证规范文件和审核员行为准则,经CCAA查实的;
●CCAA建立覆盖确认业务范围的审核员注册制度满3个月后。
附件2:
CCAA认证人员确认申请表
姓名及拼音性别
出生日期年月日身份证号码
确认项目(适用时)确认级别
专业范围(适用时)
CCAA注册证书号(适用时)注册日期年月日工作单位职称
聘用机构聘用方式专职兼职通讯地址邮政编码
联系人电话/ 传真
教育/培训经历
时间院校/培训机构专业/培训内容学历学位/证书编号
工作经历
从年/月到年/月工作单位(名称、地址、联系人、
电话、传真)部门及
职务
主要工作任务
(请详述)
专业工作经历
从年/月到年/月工作单位(名称、地址、联系人、
电话、传真)部门及
职务
主要工作任务
(请详述)
贴
照
片
处
个人声明
本人保证申请表中所填写内容及所附材料真实,承认CCAA 有权为了保证真实性和准确性而验证本人所有的声明(包括所提交的材料),并自愿遵守CCAA确认要求和行为准则。
申请人:年月日聘用机构推荐意见:
本机构确认申请人为本机构聘用人员。经本机构按照机构建立的相应的认证人员评价制度进行评价,认为申请人具备从事相应认证工作的能力,以上申报内容属实,向CCAA推荐资格确认。
聘用机构负责人:(公章)
年月日CCAA评价人员意见:
符合CCAA相应确认方案的要求,建议确认
不符合要求,建议不予确认
评价人员(签字):年月日CCAA确认决定意见:
确认不予确认
人员注册部负责人(签字):年月日
信息安全管理体系认证审核员确认方案7 中国认证认可协会
中认协注[2007]155号
关于发布信息安全管理体系认证审核员
确认方案的通知
各有关机构:
根据国家认监委信息安全管理体系认证工作的安排,为满足信息安全管理体系认证的需要,中国认证认可协会制定了《信息安全管理体系认证审核员确认方案》(见附件),现将该方案印发你们,请遵照执行。
附件:1.《信息安全管理体系认证审核员确认方案》
2.《CCAA认证人员确认申请表》
(附件文件也可在CCAA网站https://www.wendangku.net/doc/659663594.html,查看下载。)
二○○七年九月十一日
附件1:
信息安全管理体系认证审核员确认方案
一、目的
为满足国家质量监督检验检疫总局《认证及认证培训、咨询人员管理办法》(总局令2004年第61号)第六条“属于认证及认证培训、咨询新领域、国家尚未建立执业资格注册制度的,由相应认证及认证培训、咨询机构建立执业人员评价制度,并统一向中国认证人员与培训机构国家认可委员会申请办理相关人员
执业资格的确认,未经确认的,不得从事相关活动”规定的要求,中国认证认可协会(CCAA)根据《新领域认证及认证培训、咨询人员确认程序规则》的有关规定,制定本确认方案。
二、确认范围与级别
1.本方案适用于信息安全管理体系(以下简称ISMS)审核员的确认。
2.确认分ISMS审核员和ISMS高级审核员两个级别。
三、确认要求
(一)对确认申请人推荐机构的要求
1.经CNCA批准的认证机构;
2.具有CNCA批准的信息安全管理体系认证业务范围;
3.建立了满足认证工作需求的质量管理体系;
4.建立了与所从事的认证活动相适应的信息安全管理体系认证人员选择、培训、评价、聘用和管理的制度或程序并形成文件;
5.按照机构建立的评价制度对申请确认人员作出客观评
价并形成记录。
(二)对确认申请人员的基本要求
1.个人素质
申请人应具备以下个人素质:
●有道德:公正、可靠、忠诚、诚实和谨慎;
●思想开明:愿意考虑不同意见或观点;
●善于交往:灵活地与人交往;
●善于观察:主动地认识周围环境和活动;
●有感知力:能本能地了解和理解环境;
●适应力强:容易适应不同情况;
●坚韧不拔:对实现目的坚持不懈;
●明断:根据逻辑推理和分析及时得出结论;
●自立:在同其他人交往中独立工作并发挥作用。
2.行为准则
经确认的ISMS审核员有义务严格遵守以下行为准则:
●遵纪守法、敬业诚信、客观公正;
●努力提高审核技能和信誉;
●帮助其监督管理的人员提高管理水平、专业和审核技能;
●不承担本人不具备能力的审核;
●不介入冲突或利益竞争,不向审核员聘用机构隐瞒任何可能影响公正判断的关系;
●除非审核员聘用机构和受审核方书面授权或有法律要求,不讨论或透露任何有关审核的信息;
●不接受受审核方及其工作人员或任何相关方的回扣、礼品及其他任何形式的好处,也不应在知情时允许同事接受;
●不有意传播任何错误的或易产生误解的信息,以防影响审核或审核员注册/确认过程的信誉;
●在任何情况下,不损坏CCAA及其注册/确认过程的声誉,与针对违背本准则的行为而进行的调查给予充分的合作;
●不对受审核方既进行咨询又进行认证审核。
3.教育经历
申请人应具有国家承认的大学本科以上(含)学历。
4.工作经历
申请人应具有至少4年工作经历。
工作经历应是在取得大学本科以上(含)学历之后获得的。
5.专业工作经历
申请人在全部工作经历中应具有至少2年与信息安全相关的工作经历。
专业工作经历与工作经历可以同时发生。
注:信息安全相关工作经历包括信息安全管理工作(如ISMS
的研究、实施、运作、咨询、审核、教学经历),信息安全技术工作(如信息安全科研教学、工程设计与实施、产品研发与测试和网络管理工作等)。
其中:ISMS的实施经历是指组织中业务管理部门的人员和组织中信息安全管理体系实施部门的负责人具体实施管理体系的经历。ISMS的运作经历指组织中最高管理层、信息安全主管部门的人员策划、运行信息的经历。
6.培训经历
申请人应完成不少于40小时的ISMS审核员培训;
审核员培训机构应经CNCA批准,其课程和教师应符合CCAA 的确认要求或通过CCAA培训课程的确认。
CCAA确认要求和程序详见《信息安全管理体系审核员培训课程确认方案》(国认协〔2006〕14号)。
注:申请人参加境外培训机构的培训,按CCAA相关规定办理。
7.信息安全审核经历或等同要求
ISMS审核员申请人无审核经历要求;
ISMS高级审核员申请人应具有至少2次ISMS审核经历,并具有CCAA其他任一领域高级审核员/高级检查员有效注册资格或具有与信息安全相关的高级技术职称。
8.聘用
确认申请人应与申请机构(且仅与此一个机构)建立认证人员聘用关系。
四、确认过程
1.申请:
确认申请应由聘用申请人的认证机构统一向CCAA申报。
2.申报资料
(1)认证机构应提交:
●机构的批准文件复印件
●机构的营业执照复印件
●机构的质量管理体系文件
●与CNCA批准的认证业务范围相应的审核人员评价制度文件。
(2)确认申请人应提交:
●《CCAA认证人员确认申请表》(见附件),申请表应经聘用机构确认;
●学历证明复印件;
●聘用合同复印件;
●聘用机构按照本机构的审核人员评价制度对申请人实施评价过程记录的复印件;
●高级审核员申请人还应提交CCAA高级审核员/高级检查员注册证书复印件,或与信息安全相关的高级技术职称证
电子商务信息安全整体解决方案
课程设计说明书 课程名称: 信息安全技术 设计题目:电子商务信息安全整体解决方案 院系: 计算机科学与信息工程学院 学生姓名: 刘长兴 学号: 201203010054 专业班级: 12—物联网 指导教师: 李阳
目录 摘要 (1) 正文 (2) 1.电子商务信息安全问题 (2) 1.1 身份冒充问题 (2) 1.2 网络信息安全问题 (2) 1.3 拒绝服务问题 (2) 1.4 交易双方抵赖问题 (2) 1.5计算机系统安全问题 (3) 2.电子商务安全机制 (3) 2.1 加密和隐藏机制 (3) 2.2 认证机制 (3) 2.3 审计机制 (3) 2.4完整性保护机制 (4) 2.5权力控制和存取控制机制 (4) 2.6业务填充机制 (4) 3.电子商务安全关键技术 (4) 3.1防火墙技术 (4) 3.2虚拟专网技术(VPN) (5) 3.3数据加密技术 (5) 3.4安全认证技术 (6) 3.5数字签名 (6) 3.7数字证书 (7) 4. 电子商务安全的网络实现技术 (8) 4.1 安全套接层协议(SSL) (8) 4.2 安全电子交易协议(SET) (9) 4.3Netbill协议 (10)
4.4匿名原子交易协议 (11) 5.电子商务交易形式和诚信安全解决方案 (11) 5.1 电子商务的交易形式 (11) 5.2电子商务诚信安全解决方案 (12) 6.电子商务信息安全的防范策略 (13) 6.1通用技术 (13) 6.2电子支付协议 (14) 总结 (16) 参考文献 (16)
电子商务是利用Internet进行的各项商务活动,主要包括非支付型业务和支付型业务,非支付型业务指广告、售后服务等业务,支付型业务指交易、支付等业务。 电子商务改变了传统的买卖双方面对面的交流方式,它通过网络使企业面对整个世界,电子商务的规模正在逐年迅速增长,它带来的商机是巨大而深远的。由于电子商务所依托的Internet的全球性和开放性,电子商务的影响也是全面的,它不仅在微观上影响企业的经营行为和消费者的消费行为,而且在宏观上影响到国际贸易关系和国家未来竞争力。因此电子商务引起包括我国在内的许多国家政府部门的高度重视,纷纷出台了有关政策和举措推动电子商务的发展。 确保有效开展电子商务活动,关键是要保证电子商务系统的安全性,也就是要保证基于Internet的电子商务环境的安全和电子商务交易过程的安全。如何确保电子商务环境的安全和电子商务交易过程的安全,为客户在网上从事商务活动提供信心保证,是决定电子商务系统成败的关键,是电子商务健康全面发展的保障。 关键字:电子商务、信息安全、认证技术、第三方支付
重大事件期间网络与信息安全管理规定
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
信息管理与信息安全管理程序.docx
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
电力电气行业信息安全解决方案
电力电气行业信息安全解决方案
目录 一、行业方案概述 (3) 二、功能需求分析 (4) 三、相应实施方案 (5) 四、综合价值体现 (5) 五、行业成功案例 (6)
一、行业方案概述 我国由于人口众多、资源有限、工业化进程和城市化等因素,对能源需求的增长很快,同时电网也比较薄弱,因此在相当长的时期内,电力供需矛盾难以根本缓解。为实现可持续发展,必须依靠科技进步,尽快实现电力新技术规模应用,利用新型输配电技术和信息技术,提高现有设备的利用率,挖掘现有电网的潜力。过去,对配电系统的发展未给予应有的重视。随着社会的发展,可靠、优质的供电不仅是现代化大都市的重要标志,而且直接影响现代工业产品的质量。为此,研究采用配电新技术,提高供电的可靠性和电能质量已是十分紧迫的任务。 在有限资源和环保严格的制约下发展经济、提高现有资源的利用率已成为全球最重要的话题,在电力系统中,如何使电力工业向高效、环保、可持续发展已成为世界各国电力工业发展的目标。电力行业进行了电力体制改革,打破垄断,在电力系统各个环节引入竞争,从而迫使电力企业提高资源利用率,降低成本,提高服务质量来达到这个目标外。 目前电力行业对网络管理的需求也日趋成熟,企业信息部门需要面对网络、服务器与业务应用、安全设备、客户端PC和机房基础环境,从基础环境到业务系统的复杂管理需求让IT管理人员面临着巨大的压力,国内企业现阶段网络管理已经将更多关注放在对IT系统的集中、统一、全面的监控与管理,实现IT 服务支持过程的标准化、流程化、规范化,提高故障应急处理能力,提升信息部门的管理效率和服务水平上来。互普威盾内网安全软件应运而生,强调从终端设备管理,规范网络参与者的行为和相关操作,防止企业的重要信息被泄露,也提高企业网络的安全性,将内网受病毒侵袭的机率降到最低,同时也可以降低管理人员的工作复杂度,实现高效管理,轻松运维!
信息安全解决方案
河南CA信息安全解决方案河南省数字证书认证中心
、身份鉴别 一)、基本要求 1、应提供专用的登录控制模块对登录用户进行身份标识和鉴别; 2、应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措 施; 3、应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及 登录失败处理功能,并根据安全策略配置相关参数。 4、应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重 复用户身份标识,身份鉴别信息不易被冒用; 5、应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别; 二)、实现方式 通过部署PKI/CA 与应用系统相结合实现该项技术要求。 三)、部署方式 详细部署方式参见应用安全支撑系统系统设计。 、访问控制 一)、基本要求 1、应提供访问控制功能控制用户组/ 用户对系统功能和用户数据的访问; 2、应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。 3、应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问; 4、访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的 操作;
5、应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制 约的关系。 6、应具有对重要信息资源设置敏感标记的功能; 7、应依据安全策略严格控制用户对有敏感标记重要信息资源的操作; (二)、实现方式 通过部署PKI/CA 与应用系统相结合实现该项技术要求。 (三)、部署方式 详细部署方式参见应用安全支撑系统系统设计。 三、通信完整性、保密性 (一)、基本要求 1、应采用约定通信会话方式的方法保证通信过程中数据的完整性。 2、应采用密码技术保证通信过程中数据的完整性。 3、在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证; 4、应对通信过程中的整个报文或会话过程进行加密。 (二)、实现方式 应通过应用数据加密实现对于数据的完整性和保密性安全。 四、抗抵赖 (一)、基本要求 1、应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能; 2、应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 (二)、实现方式 抗抵赖功能最常见的实现方式是通过PKI、数字签名、数字水印和CA等技 术实现。 (三)、部署方式 通过部署CA实现应用抗抵赖功能。 五、数据完整性 (一)、基本要求 1、应能够检测到重要用户数据在传输过程中完整性受到破坏。 2、应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏; 3、应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到
信息安全管理体系建设
佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月
一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体
信息安全技术信息系统安全工程管理要求
信息安全技术信息系统安全工程管理要求 1 范围 本标准规定了信息安全工程(以下简称安全工程)的管理要求,是对信息安全工程中所涉及到的需求方、实施方与第三方工程实施的指导性文件,各方可以此为依据建立安全工程管理体系。 本标准按照GB17859-1999划分的五个安全保护等级,规定了信息安全工程的不同要求。 本标准适用于该系统的需求方和实施方的工程管理,其他有关各方也可参照使用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。使用本标准的各方应探讨使用下列标准最新版本的可能性。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 20269-2006 信息安全等级保护信息系统安全通用技术要求 GB/T 20271-2006 信息安全等级保护信息系统安全管理要求 3 术语和定义 下列术语和定义适用于本标准。 安全工程 security engineering 为确保信息系统的保密性、完整性、可用性等目标而进行的系统工程过程。
安全工程的生存周期 security engineering lifecycle 在整个信息系统生存周期中执行的安全工程活动包括:概念形成、概念开发和定义、验证与确认、工程实施开发与制造、生产与部署、运行与支持和终止。 安全工程指南 security engineering guide 由工程组做出的有关如何选择工程体系结构、设计与实现的指导性信息。 脆弱性 vulnerability 能够被某种威胁利用的某个或某组资产的弱点。 风险 risk 某种威胁会利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。 需求方 owner 信息系统安全工程建设的拥有者或组织者。 实施方 developer 信息系统安全工程的建设与服务的提供方。
信息安全服务(终端安全)项目
信息安全服务(终端安全)项目 技术需求 电子税务管理中心 二○一五年七月
第一章项目基本情况 1.1项目背景 税务系统自2005年起,部署实施了瑞星防病毒软件和北信源桌面安全管理系统,覆盖了税务系统超过50万终端计算机,初步实现了病毒木马防治和计算机资源管理,但也存在多个客户端软件运行资源占用较大,统一管理难度大等问题。 为此,税务总局于2013年7月起试点实施了基于云的桌面终端安全管理项目,为终端提供病毒木马查杀、桌面安全管理、补丁管理、网络准入、移动存储管理等安全防护能力。截至目前,桌面管理系统软件已定制开发完毕,并在六个试点省国税局(内蒙、山西、山东、河南、广东、重庆)进行了部署实施,部署终端总数95000余台。 根据工作安排,税务总局决定启动国税系统其他30个单位桌面管理系统的推广实施、售后服务等工作。 1.2软件概况 税务桌面管理系统为税务系统定制开发软件,通过部署一套安全产品,解决终端的桌面安全、准入、防毒杀毒等多种安全需求。通过采用C/S、B/S混合模式,实现了税务私有云模式下的两级部署、多级管理。 1.2.1系统总体框架 整个系统将由以下5个模块组成: 1.私有云模块 私有云模块为系统核心,包含云查杀子模块和云存储子模块。由两个异地互备的计算、存储平台和各省虚拟化平台组成,主要负责绝大部份终端计算任务的执行(如病毒检查、恶意代码检查、终端安全性状况的计算等)和绝大部份的存储任务(如云端病毒库、黑白名单等)。 2.终端安全模块 终端安全子模块是终端安全的本地程序,负责终端信息的搜集、安全策略、防控任务、网络准入的本地响应与控制,同时在云计算平台或本地网络出现异常的情况下,负责临时
信息安全咨询项目
信息安全咨询项目
文档说明 本文档所涉及到的文字、图表等,仅限于公司及被呈送方内部使用,未经被呈送方及公司书面许可,不得扩散到第三方。 目录
1 概述 1.1 项目背景 医疗科技有限公司(以下简称)是专业从事高端医疗设备及相关技术研发、生产、销售的高新技术企业。总部位于上海嘉定,包含运营总部、研发中心及生产基地,一二期计划占地400余亩,届时将成为中国医疗行业最大规模的高技术产业化示范基地。同时在上海浦东新区张江高科园以及深圳育成中心分别建立了两大基地,进行以市场为导向的产品研发。是目前国内唯一一家产品线覆盖全线高端医疗影像设备的大型医疗设备公司。 在产品研发和技术创新方面,是首批获得“上海市十大产学研合作创新示范基地”称号的企业之一,拥有行业领先的核心技术,获得专利技术240余项,申请发明专利占70%以上,以及在未来3-5年内将形成一个跨各大产品线,拥有1000项专利规模的大型医疗设备高科技企业。 随着的快速发展,业务经营和管理对信息系统和核心数据依赖程度越来越广泛和深入,对IT系统及信息的保密性、完整性和可用性的保护的要求也越来越高。为了加强信息安全建设,提升信息安全保障水平,落实信息安全体系规划,提高员工的安全意识,启动了信息安全管理体系建设项目。 1.2 项目目标 为了提升整体信息安全管理水平和抗风险能力,保障业务持续安全运行,需要根据国际先进信息安全管理机制,同时结合实际情况和需求来进行信息安全体系的建设。
项目按照ISO/IEC27001标准体系,综合信息安全现状,从体系化角度,在已有信息安全技术评估的基础上进行信息安全管理调研,展开综合风险评估(包含技术性分析与管理性分析),针对当前保障机制下存在的问题和安全薄弱环节,以体系化的思路提交整改策略、整改报告及形成建设研究实践成果。 项目建设按照《ISO27001信息安全体系标准》和《国家信息系统等级保护规定》要求,做好与的结合点研究与建设,其研究与建设应覆盖组织、管理、技术三个领域进行。通过ISO27001体系的研究,实践并规范信息安全风险评估方法、技术监测监管、应急响应机制,完成基于ISO27001国际标准的信息安全体系建设。 本项目的具体建设目标是: (1) 安全体系调研及分析:完成信息安全体系调研及综合分析。 (2) 信息安全体系建设:根据ISO27001安全管理体系规范对当前的信息安全管理制度、规范、应急体系等内容的完整性、规范性和可操作性进行管理对标,查找差距和存在问题并完成相应的改进。并制订信息系统和安全设施的防护配置的基线标准,同时完成一体化的安全运行监管方法。 (3) 协助建立信息安全管理、治理基础能力。经过项目的推进和落实,信息安全的管理和科学决策水平将显着提高。信息安全将成为加强内部控制和优化内部管理,降低运营风险,建立高效、统一、运转协调的安全管理体制的重要因素。通过PDCA 过程方法和相应的组织保障体系,使安全管理从“无序、零散、被动”的风险补救行为转变为“系统、科学、连贯、主动”的风险驾驭状态,防止走回头路。
关于 项目信息安全管理办法
关于**项目信息安全管理办法 为了规范及加强**项目的信息安全管理工作,特制定<<**项目信息安全管理办法>>,并严格按要求执行,具体如下: 一、硬件设备及软件信息安全管理 1、按照**客服供应商硬件及软件设备要求标准进行配置,确保符合标准。并定期维护。 要求:技术员定期维护,对于损坏、无法修复、多次修复仍然存在问题的电脑及时进行更换。 对象:**项目组座席、管理使用的电脑 实施时间:随时检查,每月排查登记一次 违规处罚:未按规定时间完成的考核技术负责人500元/次。 2、招募第三方安全公司,按**客服供应商对第三方安全公司的安全测评要求来进行招标,定期上报安全测评报告,并对存在的信息安全、网络安全等隐患或漏洞进行排查整改。 对象:**项目组所使用设备、软件等 实施时间:每季度测评一次 违规处罚:未按规定时间完成的考核技术负责人500元/次。 3、外网访问、系统更新补丁、防火墙检查、机房电脑USB端口的禁用等检查工作 要求:对海口职场电脑外网访问进行严格审查,无关于工作的外网一律禁止访问,对于网盘、视频、音乐、非工作用的在线聊天软
件等进行屏蔽。每周定期打系统更新补丁,每周定期对防火墙进行检查、打补丁,每周定期对机房电脑USB端口禁用进行检查 对像:机房座席电脑、管理人员使用的电脑、服务器。 实施时间:每周定期检查,并做好技术维护日志登记工作。以便可追溯。 违规处罚:未按规定时间完成的考核技术负责人500元/次。如有出现擅自开通外网、解禁USB端口等出现危害信息安全 等行为的,一律按500元/次进行考核,严重的做辞 退处理。并承担由此造成的经济损失。 4、硬件设备、软件等信息安全检查要求 要求:1、对**项目所有电脑按区域进行划分,共5个区域。 2、专人负责,每个区域由团队长进行管理。 3、每周各区域负责人对管辖区域信息安全进行检查及检查。 4、检查完毕后团队长填写《信息安全检查表》,并签名。 5、中心经理每日对团队长信息安全工作及签名进行检查,一 旦出现未按要求完成工作则纳入考核。 实施时间:每周日前完成 违规处罚:不按时完成工作及签名者,考核200元/次。 二、座席入职及职场信息安全管理 1、座席信息安全保密工作 要求:座席上岗前100%签订保密协议,并通过信息安全制度考试后
软考-信息安全工程师(汇总1000题)
一、1单项选择题(1-605) 1、Chinese Wall 模型的设计宗旨是:(A)。 A、用户只能访问哪些与已经拥有的信息不冲突的信息 B、用户可以访问所有信息 C、用户可以访问所有已经选择的信息 D、用户不可以访问哪些没有选择的信息 2、安全责任分配的基本原则是:(C)。 A、“三分靠技术,七分靠管理” B、“七分靠技术,三分靠管理” C、“谁主管,谁负责” D、防火墙技术 3、保证计算机信息运行的安全是计算机安全领域中最重要的环节之一,以下(B)不属于 信息运行安全技术的范畴。 A、风险分析 B、审计跟踪技术 C、应急技术 D、防火墙技术 4、从风险的观点来看,一个具有任务紧急性,核心功能性的计算机应用程序系统的开发和 维护项目应该(A)。 A、内部实现 B、外部采购实现 C、合作实现 D、多来源合作实现 5、从风险分析的观点来看,计算机系统的最主要弱点是(B)。 A、内部计算机处理 B、系统输入输出 C、通讯和网络 D、外部计算机处理 6、从风险管理的角度,以下哪种方法不可取?(D) A、接受风险 B、分散风险 C、转移风险 D、拖延风险 7、当今IT的发展与安全投入,安全意识和安全手段之间形成(B)。 A、安全风险屏障 B、安全风险缺口 C、管理方式的变革 D、管理方式的缺口 8、当为计算机资产定义保险覆盖率时,下列哪一项应该特别考虑?(D)。 A、已买的软件 B、定做的软件 C、硬件 D、数据 9、当一个应用系统被攻击并受到了破坏后,系统管理员从新安装和配置了此应用系统,在 该系统重新上线前管理员不需查看:(C) A、访问控制列表 B、系统服务配置情况 C、审计记录 D、用户账户和权限的设置 10、根据《计算机信息系统国际联网保密管理规定》,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行(B)。 A、逻辑隔离 B、物理隔离 C、安装防火墙 D、VLAN 划分 11、根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个定级要素
项目信息安全管理细则
项目信息安全管理细则 第一章总则 第一条为保障中铁九局四公司项目部计算机网络系统的安全,促进项目部各项业务的信息化,保障信息安全,保证计算机系统的正常运行,特制定本细则。 第二条计算机安全管理的主要内容包括安全防范设施和安全保障机制,以有效降低系统风险和操作风险。 第三条项目部应设立专(兼)职计算机管理员,负责项目信息系统的日常安全管理和执行工作。 第二章技术安全管理 第四条技术安全管理主要是指项目部信息系统的安全技术实施和维护方面的技术管理,包括网络安全管理,系统安全管理,操作安全管理。 第五条严禁利用项目信息系统从事国家明令禁止的活动。 第六条未经许可禁止新增,挪用和改动项目信息权,严禁将外来计算机设备接入公司网络。 第七条严禁在计算机上随意安装使用与工作无关的软件,特别是具有密码破解,黑客攻击等功能的软件。 第八条严禁在工作时间进行浪费网络资源和威胁网络安全的操作(如大文件下载,计算机端口扫描等)。
第九条计算机管理员负责统一安装所有员工办公电脑上的操作系统及应用软件,并负责调试,维护。 第十条在使用过程中计算机出现故障,应通知计算机管理员,不得擅自拆卸计算机。 第三章病毒防范管理 第十一条计算机病毒是指隐藏在计算机软件程序和数据资源中,利用系统的软件程序和数据资源繁殖并生存,并通过系统的软件程序和数据共享途径进行传染的攻击性程序,它会影响计算机系统的正常运行。 第十二条对计算机病毒的防范应以预防为主,事后处理为辅。计算机病毒防范工作由计算机管理员统一规划,协调和组织实施。 第十三条选用的病毒防护软,硬件,必须是经公安部认证、批准的产品。 第十四条计算机管理员必须不定期组织检查病毒,发现病毒及时采取相应措施处理。 第十五条项目部所有员工必须严格按以下要求进行病毒防范:严禁未经授权自行重装操作系统或变更系统设置,如确有必要,应通知计算机管理员安装或在综合部授权同意的情况下自行操作。 第十六条严禁自行下载,安装不明来历的软件;
信息安全实施方案
办公信息安全保密方案 选择加密技术来防范企业数据的扩散,以下为实现方式和采用的相关产品。 首先,对企业内部制定并实施办公自动化保密管理规定相关规则和章程,从制度和意识上让企业员工遵从保密管理规定,自觉形成对企业信息的安全保密意识和行为工作。 其次,采取相应的物理措施实现反侦听侦视行为,做好安全保密工作。 1、实现电子载体、纸质载体信息、文档的存储、传递、销毁环节加密和授权控制。 1)电子文档安全管理系统专注于企业内部电子文件的细粒权限管理,通过控制电子文件的阅读、复制、编辑、打印、截屏权限,以及分发、离线、外发、解密等高级权限,实现企业内部电子文件的安全共享及安全交换。 2)保密文件柜主要用于存放纸质文件、光盘、优盘等载体。保密文件柜的核心技术是符合保密要求的保密锁,随着科技的发展,目前保密锁通常是电子密码锁或者指纹锁。至于销毁方面可以配置相应的安全销毁设备。 2、使用加密的定制化加密通讯工具,设置保密会议室。 1)进入重要会议室前可对进入人士进行物理扫描检查检查,可设置手机检测 门: 以下为对产品手机检测门介绍:
2)在保密会议室设置移动手机通信干扰信号仪器,干扰屏蔽信号的外在接收,如移动通信干扰仪器: 保密移动通信干扰器又名手机信号屏蔽器能有效屏蔽在一定场所内的 CDM A GSM DCS PHS TD-SCDMAWCDMACDMA20Q0 FDD-LTE TD-LTE WIFI 的手机信号。移动通信干扰器采用了完全自有知识产权的先进屏蔽技术,只在一定范围内屏
蔽基站的下行信号,使处于该场所的任何移动电话(包括2G 3G 4G WIFI)收发功能失效,无法拨打和接听电话,无法收/发短信,无法上网,从而达到强制性禁用手机的目的。移动通信干扰器具有辐射强度低、干扰半径大且不干扰移动电话基站、性能稳定、安装方便、对人体无害等特点,是一种理想的净化特定场所移动通信环境的产品。 Mp-3000干扰器: 可对CDM A GSM PHS TD-SCDMAWCDMA3G WIFI信号进行必要的通信干扰。 3常用办公工具(复印机、传真机等)的检测和防护。办公终端和外设设备(电脑、U 盘、移动终端)的统一管理和保密控制。 1)保密复印机是一种特殊的复印机,除了有常规复印机的扫描、复印、双面复印、印记复印自动分布、装订等文件处理功能外,它独特的文件保密复印功能融合了一系列现代化涉密信息技术,有效地解决了普通复印机存在的因硬盘、内存、网络及使用管理不当造成的失泄密隐患,是有特殊需要的个人、企业、军队、政府单位的安全办公设备。
企业网络安全解决方案
企业网络安全解决方案 作者:沈传案王吉伟 摘要随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。 关键词信息安全;PKI;CA;VPN 1 引言 随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。 随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。 在下面的描述中,以某公司为例进行说明。 2 信息系统现状 2.1 信息化整体状况 1)计算机网络 某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
信息安全管理制度
第九章附则 (9)
第一章关于信息安全的总述 第一条(制度的目的)为了维护公司信息的安全,确保公司不因信息安全问题遭受损失,根据公司章程及相关制度,特制定本制度。 第二条(信息安全的概念)本制度所称的信息安全是指在信息的收集、产生、处理、传递、存储等过程中,做到以下工作:1)确保信息保密,但在经过授权的人员需要得到信息时 维 4、与公司财务管理相关的财务类数据,如采购信息、资产信息、财务信息; 5、其他如公司各分子公司和外地办事结构的数据;公司员工对内、对外进行各种书面 的、口头的信息传播行为等。 第七条(信息安全工作的重要性)信息安全管理是公司内部管理的一项重要及长期性的工作,其贯穿整个公司各项业务与各个工作岗位,各个中心和部门必须积极配合该项工作的开展。
第二章信息安全管理的组织架构 第八条公司最高管理层是公司信息安全管理工作的最高领导者,负责全面把握公司信息安全管理工作的方向。 第九条公司CTO以及其领导的技术专家小组作为信息安全管理工作顾问小组,负责指导公司信息安全管理工作。 潜在影响。 第十六条公司各类经营管理信息均属公司无形资产,都必须按照规定的分级方式进行分级,并明确标注。 第十七条公司为每级信息制定最低安全操作原则,以指导各项具体操作手册的制定和具体信息操作。 第十八条注:详细的信息分级标准,以及最低安全操作原则,见《信息分级和管理标准》。
第五章信息安全管理准则 第一节实体和环境安全 第十九条关键或敏感信息的存放和处理设备需要放在安全的地方,并使用相应的安全防护设备和准入控制手段进行保护,确保这些信息或设备免受未经授权的访问、损害或者干扰。具体措施如下: 1. 存放或处理信息的设备,如服务器、存储设备等,应该放在公司内部机房或专业、 或其 第二十一条存放关键或敏感信息的介质或设备离开工作环境(安全区域),运输、携带或在外部使用,需采取保护手段,防止信息窃取和损坏。 第二十二条存放关键或敏感信息的介质或设备,如果不再使用或转作其他用途,应将其中的数据进行彻底销毁。应注意选择数据销毁手段,确保数据真正无法恢复。
企业网络信息安全整体解决方案
企业网络信息安全整体解决方案 技术白皮书 目录 一、完善、优化企业内部网络架构 (2) 1、域结构管理模式 (2) 2、网络拓扑结构设计 (3) 3、三层交换与VLAN结合 (4) 4、企业网管软件 (5) 二、构建全方位的数据泄漏防护系统 (8) 1、文档安全管理系统 (9) 2、企业U盘认证系统 (10) 3、打印监控系统 (11) 三、建立一体化的本地/异地备份与容灾体系 (12) 四、建立防火墙、防入侵及一体化安全网关解决方案 (14) 1、趋势科技防毒墙-服务器版(SP): (15) 2、Juniper 防火墙: (16)
随着计算机技术的飞速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等,发展到基于复杂的内部网企业外部网和全球互联网的企业级计算机处理系统和世界范围内的信息共享。在计算机连接能力连接范围大幅度提高的同时,基于网络连接的内部网络安全、数据信息安全、资源分配以及员工工作效率低下等问题也日益突出。为了解决企业面临的这些问题,我们可以从几方面入手:首先,完善、优化企业内部网络架构;其次,构建全方位的数据泄漏防护系统;再次,建立一体化的本地/异地备份与容灾体系;最后,建立防火墙、防入侵及一体化安全网关解决方案,达到净化企业内部网络环境提升员工工作效率的目的。 一、完善、优化企业内部网络架构 在规划和设计企业总体网络架构时,应从企业应用为最基本出发点,将企业当前和各类应用和将来会上的应用都必需全部考虑进来,特别是要为企业业务的扩展留下足够的带宽和可扩展的空间。这些方面直接关系到企业网络架构中各类网络设备(如路由器、交换机、安全网关、服务器等)的采购决策,以及决定企业互联网总出口带宽的大小和企业网络的最终拓扑及规模。同时网络架构应当具有很高的灵活性和可扩展性,可以随意增加或缩减单元。另外还应当考虑企业当前的技术条件是否满足对网络进行可控和可管理的要求。下面我们就分几方面来优化企业内部网络架构。 1、域结构管理模式 在很多小型企业公司内部的网络还是采用对等网模式(工作组),在这种工作模式下任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。 在由Windows 9x构成的对等网中,数据的传输是非常不安全的。同时也无法对网络内部的计算机进行集中化的管理,导致数据泄漏。这时候我们就需要在公司内至少配置一台
浅析构建信息安全运维体系
浅析构建信息安全运维体系 周晓梅-201071037 2013年5月30日 摘要:交通运输行业经过大规模信息化建设,信息系统数量成倍增加,业务依赖性增强,系统复杂度提高,系统安全问题变得更加突出、严重。建设系统信息安全运维管理体系,对保证交通运输行业信息系统的有效运行具有重要意义。 关键词:信息系统安全运维体系构建 安全不仅仅是一个技术问题,更是一个管理问题。实际上,在整个IT产品的生命周期中,运营阶段占了整个时间和成本的70% - 80% 左右,剩下的时间和成本才是花费在产品开发(或采购)上面。以往我们听说"三分技术、七分管理"是突出管理的重要性,而这个"管理"则是大部分的精力花费在"运营"方面。随着信息安全管理体系和技术体系在政府或企业领域的信息安全建设中不断推进,占信息系统生命周期70% - 80%的信息安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,政府或企业运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维体系建设已经被提到了一个空前的高度上。 任何为了信息安全所采取的任何安全措施,不管是技术方面的还是管理方面的,都是为了保障整个信息资产的安全,安全运维体系就是以全面保障信息资产安全为目的,以信息资产的风险管理为核心,建立起全网统一的安全事件监视和响应体系,以及保障这一体系正确运作的管理体系。 一、面临的问题 “十一五”以来,我国交通运输行业和部级信息化建设工作发展迅猛,取得了长足的进步,而部级信息化建设和管理工作中存在的一些问题和矛盾也日益凸显。当前部级信息化项目来源较多、资金筹措渠道复杂、建设和运行维护单位众多,而信息化标准规范体系不完善,由于缺乏有效的技术管理规范,非基本建设项目的建设实施还存在管控盲区,现有标准规范贯彻执行不足,系统建设实施过程中存在安全和质量风险,并对系统运行维护形成障碍,整体运行安全存在隐
企业信息安全解决方案习题答案
企业信息安全解决方案习题答案 1根据IS0 13335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。 A 正确 B 错误 2信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。 A 正确 B 错误 3只要投资充足,技术措施完备,就能够保证百分之百的信息安全。 A 正确 B 错误 4我国在2006年提出的《2006~2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。 A 正确 B 错误 52003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。 A 正确 B 错误 6在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。 A 正确 B 错误 7安全管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。 A 正确 B 错误 8 9Windows 2000/xp系统提供了口令安全策略,以对帐户口令安全进行保护。
信息安全等同于网络安全。 A 正确 B 错误 A 正确 B 错误 10GB 17859与目前等级保护所规定的安全等级的含义不同,GB 17859中等级划分为现在的等级保护奠定了基础。 A 正确 B 错误 11口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。 A 正确 B 错误 12PKI系统所有的安全操作都是通过数字证书来实现的。 A 正确 B 错误 13PKI系统使用了非对称算法、对称算法和散列算法。 A 正确 B 错误 14 一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复Restoration)五个主要环节。 A 正确 B 错误 15信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。 A 正确 B 错误
信息系统项目安全管理方法
摘要:从数据采集、生产营运至生产经营分析和日常办公系统给领导决策提供了强有力的支撑,而随着互联网的开放、信息共享也同时带来了日益增长的安全威胁。多年来天津石化非常注重信息安全管理工作,但是也存在着信息安全工作无法很好的贯彻至整个信息系统生命周期的问题。在这项工作的组建过程中,早引入领导才能越早重视,成本就会控制在最低,而起到的作用也越高。 关键词:信息系统;项目安全;管理方法 1 概述 随着信息化项目建设的推进及应用延伸,天津石化信息系统已全面渗透到企业的运营中,从数据采集、生产营运至生产经营分析和日常办公系统给领导决策提供了强有力的支撑,而随着互联网的开放、信息共享也同时带来了日益增长的安全威胁。多年来天津石化非常注重信息安全管理工作,但是也存在着信息安全工作无法很好的贯彻至整个信息系统生命周期的问题。在这项工作的组建过程中,早引入领导才能越早重视,成本就会控制在最低,而起到的作用也越高。 2 信息安全管理方法 2.1 信息化安全领导小组的成立 要成立一把手或主管信息化领导任组长的信息安全领导小组,为企业信息化应用保驾护航。负责制定、完善信息系统的安全策略,提出信息系统的安全框架、管理方法,规定各部门要遵守的规范及责任,以调动、协调和组织各方面的资源共同保障信息系统的安全。 2.2 项目规划阶段安全管理 项目规划阶段,在定义业务需求时,应注重对信息安全方面的需求制定,完善信息系统的安全策略,提出信息系统的安全框架、管理方法。在业务需求书中,应明确对信息系统安全的详细要求,必须经过信息安全人员参加的项目评审会议通过,才能进行项目立项。任何对信息系统安全需求的变更,需经过正式的系统变更流程。 2.3 项目设计阶段安全管理 在信息系统设计阶段,通过风险分析明确安全需求,确定安全目标,制定安全策略,拟定安全要求的性能指标。充分考虑业务数据在传输、处理、存储等各个过程中的安全要求。 在基础设施建设方面充分考虑系统架构、硬件冗余、数据备份、网络安全等方面,搭建一个安全高效的基础设施平台是信息系统安全运行的基础。 在系统应用安全层面应至少进行以下安全控制设计: ①身份认证。用户身份识别打破以往各自独立认证的方式,以总部ad账号作为统一身份认证的基础对用户进行身份识别,重要的系统可以在信息门户实现单点登录,并根据安全策略配置相关参数,如限制非法登录次数、超时自动退出等。 ②问控制。遵循最小权限原则控制用户对文件、数据库表等的访问。 ③日志与审计。对应用程序中的重要事件进行日志记录,并进行审计,以便对系统的重要操作和安全事件进行追踪审查。 2.4 系统上线试运行阶段安全管理 ①操作系统安装 存储应首先考虑配置为raid10,在特殊情况下可以允许配置为raid5;存储分区最少为三部分:操作系统分区、程序分区、数据分区;系统盘,只允许安装操作系统,不得安装应用程序、数据库,不得存放安装文件、数据文件等;程序盘,只允许安装该系统相关程序;数据盘,安装有数据库的系统,数据文件可以在此盘存放,安装程序、安装手册、用户手册等系统相关文档也可以保存在此盘;各分区容量应当满足系统稳定运行5年以上;操作系统使用默认设置进行安装,安装完成后应启用相应操作系统安全策略;操作系统安装完成后,